Siber güvenlik firması ESET, Çin bağlantılı yeni bir Gelişmiş Kalıcı Tehdit (APT) grubu olan LongNosedGoblin'i ortaya çıkardı. Bu grubun, Güneydoğu Asya ve Japonya'da devlet kurumlarına yönelik siber casusluk faaliyetlerinde bulunduğu bildirildi.
ESET Research ekibi, Windows sistemlerinde genellikle Active Directory ile kullanılan Grup İlkesi mekanizmasını kötüye kullanarak kötü amaçlı yazılımları dağıtan ve hedef ağlarda yatay hareket eden LongNosedGoblin adlı yeni bir APT grubunu tespit etti. Grup, özellikle Güneydoğu Asya ve Japonya’daki devlet kurumlarının ağlarına siber casusluk araçları yerleştiriyor.
2024 yılında ESET araştırmacıları, Güneydoğu Asya’daki bir devlet kurumunun ağında daha önce bilinmeyen bir kötü amaçlı yazılım tespit etti. Grubun Eylül 2023’ten beri aktif olduğu düşünülüyor. ESET, Eylül 2025 itibarıyla grubun bölgedeki faaliyetlerini yeniden gözlemlemeye başladı. LongNosedGoblin, ele geçirdiği ağlarda ve Komuta ve Kontrol (C&C) sunucuları için Microsoft OneDrive ve Google Drive gibi bulut hizmetlerini kullanarak kötü amaçlı yazılımlar yayıyor.
Grubun cephaneliğinde çeşitli araçlar bulunuyor. NosyHistorian, Google Chrome, Microsoft Edge ve Mozilla Firefox tarayıcılarından geçmiş verilerini toplayan bir C#/.NET uygulaması. Bu veriler, diğer kötü amaçlı yazılımların yerleştirileceği noktaları belirlemek için kullanılıyor. NosyDoor ise kurban makinesinin adı, kullanıcı adı, işletim sistemi sürümü ve çalışan işlemler gibi meta verileri toplayıp C&C sunucusuna gönderiyor. Ayrıca C&C’den aldığı komutları işleyerek dosya sızdırma, silme ve kabuk komutları yürütme işlevlerini yerine getiriyor.
NosyStealer, Microsoft Edge ve Google Chrome’dan tarayıcı verilerini çalmak için kullanılırken, NosyDownloader gizli komutları çalıştırıp belleğe yük indirip çalıştırıyor. ESET ayrıca, açık kaynaklı DuckSharp keylogger’ın değiştirilmiş bir versiyonu olduğu düşünülen C#/.NET tabanlı NosyLogger adlı keylogger’ı da tespit etti. Grup ayrıca ters SOCKS5 proxy ve muhtemelen FFmpeg gibi bir video kaydedici aracılığıyla ses ve video yakalamak için kullanılan bir argüman çalıştırıcı da kullanıyor.
ESET araştırmacısı Anton Cherepanov, Peter Strýček ile birlikte yürüttükleri araştırmada, Yandex Disk bulut hizmetini C&C sunucusu olarak kullanan ve bir AB ülkesindeki kurumu hedef alan farklı bir NosyDoor varyantı da tespit ettiklerini belirtti. Cherepanov, bu varyantın kullanılmasıyla kötü amaçlı yazılımın Çin bağlantılı birden fazla tehdit grubu arasında paylaşılıyor olabileceğini ifade etti.
Kaynak: (BYZHA) Beyaz Haber Ajansı